Rilevamento di Exploit delle Vulnerabilità di Junos OS: Gli Hacker Sfruttano la Catena di Bug RCE CVE-2023-36844 Abusando dei Dispositivi Juniper Dopo il Rilascio del PoC

[post-views]
Agosto 31, 2023 · 4 min di lettura
Rilevamento di Exploit delle Vulnerabilità di Junos OS: Gli Hacker Sfruttano la Catena di Bug RCE CVE-2023-36844 Abusando dei Dispositivi Juniper Dopo il Rilascio del PoC

Gli avversari sfruttano quattro nuove vulnerabilità di sicurezza RCE scoperte nel componente J-Web di Junos OS, tracciate come CVE-2023-36844, CVE-2023-36845, CVE-2023-36846 e CVE-2023-36847. Le vulnerabilità identificate possono essere concatenate, consentendo agli attaccanti di eseguire codice arbitrario sulle istanze compromesse. Dopo la divulgazione di un exploit PoC per concatenare i difetti di Juniper JunOS, i difensori informatici stanno aumentando la consapevolezza riguardo all’aumento dei tentativi di sfruttamento correlati.

Rilevare Exploit della Catena RCE CVE-2023-36844

Avendo il codice di exploit del proof-of-concept (PoC) per la catena RCE CVE-2023-36844 disponibile pubblicamente sul web, i professionisti della sicurezza richiedono contenuti di rilevamento curati per identificare proattivamente possibili intrusioni. La piattaforma SOC Prime aggrega una regola Sigma rilevante che aiuta a rilevare possibili tentativi di sfruttamento della catena RCE da parte di un attaccante interno.

Tentativo di Sfruttamento della Catena RCE CVE-2023-36844 (Modifica Variabile Esterna PHP Juniper) (tramite proxy)

Questa regola è compatibile con 18 formati tecnologici SIEM, EDR, XDR e Data Lake ed è mappata al framework MITRE ATT&CK affrontando le tattiche di Accesso Iniziale, con ‘Sfruttare Applicazione Accessibile Pubblicamente’ (T1190) come tecnica corrispondente.

Per esplorare l’intera raccolta di regole Sigma che rilevano tentativi di sfruttamento di vulnerabilità esistenti ed emergenti, premere il pulsante Esplora Rilevamenti qui sotto. Acquisisci algoritmi di rilevamento rilevanti ed esplora metadati estesi, inclusi contesto CTI e MITRE ATT&CK.

Esplora Rilevamenti

Analisi dell’Attacco della Catena di Bug RCE di Juniper

Il 19 agosto 2023, Juniper Networks ha rilasciato un avviso di sicurezza avvertendo i difensori delle quattro nuove falle scoperte nel componente J-Web di Junos OS che possono portare a RCE se concatenate. I problemi rilevati riguardano tutte le versioni degli switch Juniper EX e dei firewall SRX, il che richiede un’attenzione immediata da parte dei difensori informatici seguendo le raccomandazioni fornite nel bollettino di sicurezza.

Tutti i bug di sicurezza sono considerati critici, con un punteggio CVSS cumulativo che raggiunge 9.8, e possono essere raggruppati come segue:

  • CVE-2023-36844 e CVE-2023-36845 sono vulnerabilità di Modifica Variabile Esterna PHP che consentono agli attaccanti di controllare variabili ambientali significative
  • CVE-2023-36846 e CVE-2023-36847 sono assenze di autenticazioni per falle di funzioni critiche che consentono agli attori della minaccia di influire sull’integrità del file system al tentativo di sfruttamento riuscito.

Sebbene Juniper Networks abbia affermato che non c’erano prove di attacchi in-the-wild che sfruttassero la catena di bug, la situazione è cambiata solo una settimana dopo che watchTowr Labs ha rilasciato il exploit PoC, dimostrando il contrario. Ad esempio, il team della Shadowserver Foundation ha identificato una serie di tentativi di sfruttamento da parte di un set di IP che sfruttano CVE-2023-36844 e altri bug nella catena RCE e utilizzano l’exploit PoC sopra menzionato. Per fornire ulteriori approfondimenti sulla concatenazione e lo sfruttamento di questi nuovi difetti di Juniper OS, i ricercatori hanno anche pubblicato un’analisi tecnica approfondita con un’analisi tecnica dettagliata del processo di sfruttamento.

Secondo la ricerca del team di Shadowserver, gli hacker hanno già compromesso oltre 8.000 istanze di Juniper, con la maggior parte degli obiettivi situati in Corea del Sud.

Per mitigare la minaccia potenziale, i difensori raccomandano di applicare immediatamente le patch o di aggiornare all’ultima versione di JunOS. Inoltre, disabilitare immediatamente l’accesso a Internet al componente J-Web può aiutare a ridurre la superficie di attacco.

Affidati al CTI collettivo e costruisci la tua ricerca con l’expertise basata sui pari con Uncoder AI risparmiando tempo nelle tue operazioni di sicurezza quotidiane e mantenendo il passo dell’ambiente delle minacce in continua evoluzione.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Blog, Ultime Minacce — 7 min di lettura
Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Veronika Telychko
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Blog, Ultime Minacce — 6 min di lettura
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Veronika Telychko
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Blog, Ultime Minacce — 5 min di lettura
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Veronika Telychko